La cybercriminalité évolue à un rythme effréné, mettant constamment à l’épreuve la résilience des infrastructures de sécurité. Parmi les dernières menaces émergentes figure le groupe RansomHub, qui a rapidement gagné en notoriété grâce à des attaques coordonnées et sophistiquées. Née après l’effondrement d’autres groupes notables comme Alphv/BlackCat et LockBit, cette entité représente une nouvelle génération de ransomware opérant sur le modèle du « Ransomware as a Service » (RaaS). Grâce à ses techniques particulièrement élaborées et aux stratégies adoptées RansomHub a rapidement su s’imposer dans l‘écosystème des ransomwares.
Historique et montée en puissance
Le groupe a fait sa première apparition significative au début de 2024. Comme le relève, en mai dernier, la société de cybersécurité Forescout dans son analyse , RansomHub a annoncé son programme d’affiliation le 2 février 2024. Posté sur le forum du dark-web RAMP (Russian Anonymous Market Place) par un certain “Koley” on pouvait y lire l’annonce suivante :
« Bienvenue à l’adhésion de notre programme d’affiliation RANSOMHUB.
Nous avons pris en compte tous les avantages et les inconvénients des programmes d’affiliation précédents et avons créé la nouvelle génération de ransomwares.
Nous avons remarqué que la police avait saisi les comptes de certains affiliés ou les ont empêchés de poursuivre leurs activités frauduleuses, ce qui vous a fait perdre vos fonds. Nous avons adopté une nouvelle stratégie. Vous pouvez envoyer votre portefeuille dans le salon de discussion et envoyer le décrypteur après avoir confirmé le paiement. Vous n’avez pas à vous inquiéter de la sécurité de vos fonds.
Notre commission fixe est de 10% et vous nous payez quand vous recevez l’argent.»
RansomHub, avec son message, recherche des partenaires en leur proposant un modèle de partage des paiements fixe. Lorsque la rançon est payée, la commission fixe de RansomHub est de 10% et le reste, soit 90%, revient à l’affilié. RansomHub a également développé son propre panel dédié aux de sites de fuites de données pour permettre à ses affiliées de gérer les négociations avec leurs victimes, édicté ses conditions et ses règles pour chaque affilié. Ce taux lucratif, supérieur aux offres les plus courantes, est susceptible d’attirer des affiliés aguerris en provenance d’autres groupes de ransomware et d’augmenter ainsi les attaques et les victimes liées à RansomHub.
Écrit en Golang et en C++, et prenant en charge Windows, Linux, ESXi entre autres, Ransomhub se classe parmi les ransomwares modernes. Une de ses particularité réside aussi dans son modèle de paiement qui diffère de celui d’ALPHV et lui probablement attiré les faveurs de nombreux affiliés déçus d’autres programmes. Des chercheurs ont également trouvé des similitudes de code avec le ransomware Knight (auparavant connu sous le nom de Cyclops), dont le code a été vendu sur le dark web en février 2024.
RansomHub un digne héritier de Alphv/BlackCat et de Lockbit ?
Cette expansion rapide a été facilitée par le vide laissé par la chute de Alphv/BlackCat et le coup dur porté à Lockbit lors de l’opération internationale Cronos en février 2024. Ces coups durs portés à ces éminents groupes de ransomware ont permis sans aucun doute l’envol fulgurant de RansomHub.
Un autre élément frappant dans l’essor de RansomHub concerne l’effondrement du groupe Alphv/BlackCat, présenté par certaines sources comme une opportunité stratégique pour attirer d’anciens affiliés. En mars, Alphv avait annoncé sa dissolution soudaine suite à une intervention des forces de l’ordre, une affirmation mise en doute par plusieurs chercheurs en sécurité qui y voient plutôt un « exit scam »(escroquerie de sortie). En réalité, il est rapidement apparu que cette dissolution n’était qu’un subterfuge. En effet, les prétendues saisies des serveurs par le FBI ont été démenties par les agences concernées, laissant supposer un exit scam orchestré par les opérateurs d’Alphv/BlackCat. Le gang aurait ainsi disparu avec les paiements des affiliés, dont un montant de 22 millions de dollars versé après l’attaque contre Change Healthcare.
RansomHub, avec son modèle de distribution directe des paiements aux affiliés, a su profiter de ce climat de défiance pour attirer ces acteurs désillusionnés. Ces circonstances ont favorisé le recrutement par RansomHub de talents expérimentés désormais libérés de leurs engagements antérieurs. Ces transferts d’affiliés ont permis à RansomHub de non seulement accroître son territoire d’action mais également de perfectionner ses méthodes en s’inspirant des précédents succès (et échecs) de ses prédécesseurs.
Un modèle opérationnel efficace : le RaaS
RansomHub se distingue par son adoption du modèle RaaS (Ransomware-as-a-Service), permettant aux affiliés d’utiliser leur infrastructure pour mener des attaques contre des cibles variées. Ce modèle offre une flexibilité et une efficacité accrues, où chaque affilié peut personnaliser ses méthodes d’attaque, rendant ainsi la tâche des défenseurs nettement plus complexe.
Le succès fulgurant de RansomHub repose en partie sur l’intégration rapide d’affiliés provenant d’autres groupes dissous tels qu’Alphv/BlackCat et LockBit. Ces affiliations apportent non seulement des compétences techniques mais aussi une expérience terrain précieuse. En revanche, ce transfert massif cause un double défi : diversifier les cibles tout en maintenant leurs systèmes sécuritaires éprouvés.
Un axe stratégique : cibler des secteurs diversifiés
Une particularité de RansomHub réside dans la diversité des secteurs ciblés. On compte parmi leurs victimes des entreprises de technologies de l’information, institutions financières, prestataires de soins de santé, services publics et industries manufacturières. Cette diversification rend difficile toute tentative de catégorisation unique et nécessite des réponses adaptées selon les contextes spécifiques.
RansomHub s’est démarqué par sa capacité à s’attaquer à des secteurs critiques tels que l’eau, les services d’urgence, le transport et la finance, avec des victimes allant de coopératives de crédit comme Patelco à des sociétés multinationales comme le géant pétrolier Halliburton, en passant par la maison de ventes aux enchères Christie’s et tout dernièrement Kawasaki Europe.
Ce modèle de diversification, couplé à une présence marquée en Europe (34 % des attaques) et une expansion croissante en Amérique du Nord, reflète un mouvement stratégique visant à maximiser les opportunités de rançon tout en répartissant les risques. Cette approche globalisée et multi-sectorielle a permis à RansomHub de s’imposer rapidement comme un acteur incontournable du paysage des ransomwares. Avec déjà plus de 250 attaques à son actif le CERT Synetis estime que RansomHub ,compte tenu de son efficacité et de sa croissance rapide, pourrait devenir en 2024 un acteur majeur du monde des ransomwares.
Techniques d’attaque : une exploitation efficace des vulnérabilités
RansomHub se montre particulièrement inventif en matière technique combinant des méthodes classiques d’ingénierie sociale comme le phishing avec des techniques plus sophistiquées. Dans sa dernière étude, les chercheurs en cybersécurité de Trend Micro ont déclaré : “RansomHub obtient généralement un accès initial en ciblant les systèmes en contact avec Internet et les points de terminaison des utilisateurs par des méthodes telles que les courriels d’hameçonnage, l’exploitation de vulnérabilités connues et les attaques par pulvérisation de mot de passe.”
L’attaque d’un groupe comme RansomHub repose sur une stratégie méthodique, représentée ici par leur Cyber Kill Chain. Chaque phase de l’attaque est conçue pour contourner les défenses et s’assurer un contrôle maximal sur les systèmes compromis.
Ransomhub exploite également des vulnérabilités critiques dans des logiciels et services largement utilisés, comme Citrix ADC (CVE-2023-3519) et Fortinet FortiOS (CVE-2023-27997). Ces failles permettent un accès initial aux systèmes ciblés avant que des outils comme Mimikatz ne soient utilisés pour escalader les privilèges. L’utilisation d’exploits proof-of-concept rend leurs attaques encore plus difficiles à prévenir et à détecter.
Leur utilisation d’outils préexistants, souvent détournés de leur usage initial, en témoigne. Un exemple frappant est l’utilisation de TDSSKiller, un outil légitime développé par Kaspersky destiné à détecter et supprimer des rootkits et bootkits complexes. Ce dernier est cependant transformé par RansomHub en un instrument de désactivation des services EDR (Endpoint Detection and Response).
C’est précisément cette manipulation astucieuse de solutions légitimes qui rend leur détection si ardue. La stratégie consiste à exécuter TDSSKiller via des scripts en ligne de commande ou des fichiers batch, masquant ainsi leurs véritables intentions avant de lancer l’outil LaZagne pour récolter des identifiants depuis diverses bases de données applicatives. Ce procédé permet ensuite à RansomHub de réaliser des mouvements latéraux au sein des réseaux compromis.
L’exploitation de TDSSKiller
Kaspersky a conçu TDSSKiller pour analyser les systèmes à la recherche de types de malwares difficiles à détecter. Cependant, en contournant les défenses activées par les agents EDR, la version modifiée par RansomHub exécute des actions nuisibles sans éveiller de soupçons. Ce procédé inclut des fonctionnalités avancées telles que la suppression des logs créés durant l’extraction de données sensibles, entravant ainsi les efforts de surveillance et de réponse des équipes de cybersécurité.
Quant au logiciel malveillant LaZagne, bien que facilement identifiable en temps normal, il gagne en discrétion lorsque précédé d’une attaque réussie sur les dispositifs de protection via TDSSKiller. LaZagne permet aux attaquants de récupérer des informations de connexion à partir de diverses applications, notamment des navigateurs, des clients de messagerie et des bases de données, ce qui renforce leur capacité à se déplacer latéralement au sein du réseau. Les pirates s’assurent ainsi une longueur d’avance en neutralisant les barrières de protection avant de procéder au vol de données.
«L’outil EDRKillShifter fonctionne comme un exécutable de « chargeur », servant de mécanisme de livraison pour un conducteur légitime susceptible d’abuser pour mettre fin aux applications liées aux solutions antivirus. Ce type d’outil est souvent appelé « Bring Your Own Vulnerable Driver (apportez votre propre pilote vulnérable) » (BYOVD). Le processus d’exécution de ce chargeur comporte trois étapes principales. » peut-on lire dans l’étude de Trend Micro postée le 20 septembre 2024.
Les principales vulnérabilités exploitées par RansomHub
RansomHub est réputé pour exploiter à la fois des vulnérabilités connues dans des logiciels largement répandus ainsi que des vulnérabilités zero-day. Voici quelques-unes des principales vulnérabilités exploitées par ce groupe :
- CVE-2023–27350 : vulnérabilité critique dans Microsoft Exchange, permettant l’exécution de code à distance.
- CVE-2022-1388 : faille dans F5 BIG-IP, qui permet aux attaquants distants d’exécuter des commandes arbitraires.
- CVE-2019-2725 : vulnérabilité dans Oracle WebLogic permettant un accès sans authentification aux attaquants.
- CVE-2020-1472 (Zerologon) : vulnérabilité critique dans le protocole Netlogon de Microsoft, permettant aux attaquants de prendre le contrôle d’un ordinateur, y compris des contrôleurs de domaine, et d’obtenir des privilèges élevés sans authentification.
- CVE-2023-3519 : faille dans Citrix ADC et Gateway, résultant d’une validation d’entrée incorrecte, souvent exploitée pour une exécution de code à distance (RCE).
- CVE-2023-27997 : débordement de tampon dans le client VPN SSL de Fortinet, permettant à des attaquants non authentifiés d’exécuter du code arbitraire sur des dispositifs vulnérables.
- CVE-2023-46604 : vulnérabilité d’injection de commandes affectant certains systèmes, notamment des systèmes de contrôle industriels, permettant l’exécution de commandes à distance.
- CVE-2023-22515 : faille de contournement d’authentification dans Confluence d’Atlassian, permettant à des utilisateurs non autorisés d’accéder à des données ou des systèmes sensibles.
- CVE-2023-46747 : vulnérabilité d’exécution de code à distance dans plusieurs plateformes, pouvant être exploitée via des services de réseau non sécurisés.
- CVE-2023-48788 : faille dans certaines applications logicielles qui pourrait mener à une escalade de privilèges ou à une exécution de code arbitraire si elle est exploitée.
- CVE-2017-0144 (EternalBlue) : vulnérabilité dans le protocole Windows SMB, exploitée par le ransomware WannaCry, permettant une exécution de code à distance via des paquets SMB spécifiquement conçus.
- CVE-2020-0787 : vulnérabilité locale dans Windows, permettant une élévation de privilèges via une mauvaise gestion de la mémoire virtuelle.
RansomHub privilégie ces vulnérabilités, ciblant souvent les organisations qui retardent l’installation des mises à jour critiques. Il est donc essentiel de maintenir une gestion rigoureuse des vulnérabilités pour se protéger non seulement contre RansomHub, mais aussi contre l’ensemble des groupes de ransomware.
Mesures de mitigation recommandées
Les agences de sécurité recommandent vivement la mise en œuvre de mesures proactives pour atténuer l’impact potentiel des attaques de RansomHub. Parmi ces mesures, le patching régulier des vulnérabilités connues exploitables et l’usage intensifié de l’authentification à deux facteurs représentent des lignes de défense essentielles.
Également, ne pas céder au paiement de rançons est conseillé, car cela n’offre aucune garantie de restitution complète des fichiers et peut encourager les attaquants à cibler davantage d’organisations. La vigilance et l’adaptation continue des stratégies de sécurité restent les meilleures armes face à cette menace évolutive.
L’environnement technologique et sécuritaire évolue constamment, et à cet égard, comprendre les tactiques utilisées par les groupes comme RansomHub devient essentiel. Protéger les informations sensibles nécessite une mobilisation collective et une adaptation constante des protocoles de défense face à des adversaires toujours plus ingénieux et déterminés.
Références et analyses (en anglais) :
RansomHub ransomware-as-a-service ( étude group-ib)
Threat Profile RansomHub ransomware ( Blackpoint rapport à télécharger)
RansomHub: The New Kid on the Block to Know (Cyberint)
RansomHub: New Ransomware has Origins in Older Knight (Threat Hunter TeamSymantec)
RansomHub ransomware abuses Kaspersky TDSSKiller to disable EDR software (Bleeping Computer)
How Ransomhub Ransomware Uses EDRKillShifter to Disable EDR and Antivirus Protections (Trend Micro)
RansomHub’s Rise to Power: The New Leader in Ransomware-as-a-Service
